安全研究人员警告说,一个国家支持的威胁组织正在使用 Windows 更新通过 GitHub 命令和控制 (C2) 服务器传递恶意软件。根据 Malwarebytes 威胁情报,Lazarus Group 将自己伪装成美国航空航天巨头洛克希德马丁公司。
如果您不熟悉 Lazarus,它是一个由朝鲜支持并位于朝鲜的高级持续威胁 (APT) 组织。该组织有针对军事组织的历史。当然,洛克希德·马丁公司虽然有其他风险投资,但它是美军的大合作伙伴。
Lazarus Group 至少从 2009 年开始活跃,是周围最顽固的网络犯罪组织之一。它在美国军方也被称为 Hidden Cobra,并且有勒索软件攻击和用于间谍目的的数据盗窃的历史。
Malwarebytes Threat Intelligence 本月早些时候在调查鱼叉式网络钓鱼活动时发现了这种新的攻击方法。
在上周的报告中,这家安全公司发现该活动正在传播吸引用户点击的恶意文档。具体来说,通过提供在洛克希德马丁公司工作的机会。一对嵌入宏的文档作为文件名的诱饵:
- Lockheed_Martin_JobOpportunities.docx
- Salary_Lockheed_Martin_job_opportunities_confidential.doc
攻击方式
它首先使用 Microsoft Word 在文档中创建恶意宏。在系统上时,恶意软件档案开始渗透。一旦用户打开文档,宏就会获得权限,并且它们会将 WindowsUpdateConf.link 与启动文件夹中的 DLL 文件一起放置到隐藏的 Windows/System32 文件夹中。
这个 .LNK 文件然后启动 Windows 更新服务,这当然是 Windows 上的正版文件。它有助于向平台提供自动更新,位于 C:/Windows/System32 中。
Windows Update 用于运行恶意 DLL 文件。因为它在合法文件中运行,安全措施无法检测到它。
“使用这种方法,攻击者可以通过 Microsoft Windows Update 客户端通过传递以下参数来执行其恶意代码:/UpdateDeploymentProvider、恶意 DLL 的路径和 DLL 之后的 /RunHandlerComServer 参数,” Malwarebytes 解释说。
“这是 Lazarus 使用的一种有趣的技术,它使用 Windows 更新客户端运行其恶意 DLL 以绕过安全检测机制,”研究人员补充道, “使用这种方法,威胁参与者可以通过 Microsoft Windows 更新客户端执行其恶意代码,方法是通过以下参数:/UpdateDeploymentProvider、恶意 DLL 的路径和 DLL 后的 /RunHandlerComServer 参数。”
未经允许不得转载:表盘吧 » Windows Update 成为 Lazarus Group 最新威胁活动的攻击媒介
